ProHoster > blog > internetnieuws > Apache 2.4.53 http-serverrelease met gevaarlijke kwetsbaarheden verholpen

Apache 2.4.53 http-serverrelease met gevaarlijke kwetsbaarheden verholpen

De release van Apache HTTP Server 2.4.53 is gepubliceerd, die 14 wijzigingen introduceert en 4 kwetsbaarheden verhelpt:

  • CVE-2022-22720 - de mogelijkheid om een ​​HTTP Request Smokkel-aanval uit te voeren, die het mogelijk maakt, door speciaal ontworpen clientverzoeken te verzenden, in te grijpen in de inhoud van verzoeken van andere gebruikers die worden verzonden via mod_proxy (u kunt bijvoorbeeld de vervanging van kwaadaardige JavaScript-code in de sessie van een andere gebruiker van de site). Het probleem wordt veroorzaakt doordat binnenkomende verbindingen open blijven nadat er fouten zijn opgetreden tijdens het verwerken van een ongeldige aanvraagtekst.
  • CVE-2022-23943 - Een bufferoverflow in de mod_sed-module waarmee de inhoud van het heap-geheugen kan worden overschreven met door de aanvaller bestuurde gegevens.
  • CVE-2022-22721 - Schrijven buiten het bereik vanwege een overflow van gehele getallen die optreedt bij het doorgeven van een verzoektekst groter dan 350 MB. Het probleem manifesteert zich op 32-bit systemen waarbij de instellingen waarvan de waarde LimitXMLRequestBody te hoog staat ingesteld (standaard 1 MB, voor een aanval moet de limiet hoger zijn dan 350 MB).
  • CVE-2022-22719 is een kwetsbaarheid in mod_lua die het mogelijk maakt willekeurige geheugengebieden te lezen en het proces te laten crashen bij het verwerken van een speciaal vervaardigde verzoektekst. Het probleem wordt veroorzaakt door het gebruik van niet-geïnitialiseerde waarden in de r:parsebody-functiecode.

De meest opvallende niet-beveiligingswijzigingen zijn:

  • In mod_proxy is de limiet op het aantal tekens in de naam van de handler (worker) verhoogd. De mogelijkheid toegevoegd om selectief time-outs te configureren voor de backend en frontend (bijvoorbeeld met betrekking tot een werknemer). Voor verzoeken verzonden via websockets of de CONNECT-methode is de time-out gewijzigd naar de maximale waarde die is ingesteld voor de backend en frontend.
  • Gescheiden afhandeling van het openen van DBM-bestanden en het laden van het DBM-stuurprogramma. In het geval van een crash geeft het logboek nu meer gedetailleerde informatie over de fout en de driver weer.
  • mod_md stopte met het verwerken van verzoeken aan /.well-known/acme-challenge/ tenzij de domeininstellingen expliciet het gebruik van het 'http-01'-uitdagingstype inschakelden.
  • mod_dav heeft een regressie gerepareerd die een hoog geheugengebruik veroorzaakte bij het verwerken van een groot aantal bronnen.
  • De mogelijkheid toegevoegd om de pcre2 (10.x)-bibliotheek te gebruiken in plaats van pcre (8.x) voor het verwerken van reguliere expressies.
  • Ondersteuning voor LDAP-anomalieanalyse is toegevoegd aan queryfilters om gegevens correct te screenen bij pogingen tot LDAP-vervangingsaanvallen.
  • In mpm_event is een impasse opgelost die optreedt bij het opnieuw opstarten of overschrijden van de MaxConnectionsPerChild-limiet op zwaarbelaste systemen.

Bron: opennet.ru

Voeg een reactie